CVE-2025-55182

एक बड़े पैमाने पर क्रेडेंशियल-हार्वेस्टिंग अभियान की पहचान की गई है जो React2Shell भेद्यता को अपने प्राथमिक संक्रमण वाहक के रूप में उपयोग कर रहा है। यह अभियान कमजोर Next.js अनुप्रयोगों को निशाना बनाता है, विशेष रूप से CVE-2025-55182 का फायदा उठाता है, जो 10.0 के CVSS स्कोर वाला एक गंभीर दोष है और React Server Components और Next.js App Router को प्रभावित करता है। सफल शोषण से रिमोट कोड निष्पादन संभव हो जाता है, जिससे हमलावरों को लक्षित प्रणालियों में प्रारंभिक पैठ बनाने में मदद मिलती है।

सुरक्षा शोधकर्ताओं ने इस गतिविधि का श्रेय UAT-10608 नामक खतरे के समूह को दिया है। इस अभियान ने पहले ही कई भौगोलिक क्षेत्रों और क्लाउड वातावरणों में कम से कम 766 होस्ट को प्रभावित किया है, जो इसकी व्यापकता और परिचालन पहुंच को दर्शाता है।

बड़े पैमाने पर स्वचालित घुसपैठ: व्यापक और अंधाधुंध लक्ष्यीकरण

हमले का तरीका अत्यधिक स्वचालित जासूसी और शोषण तकनीकों को दर्शाता है। ऐसा माना जाता है कि हमलावर Shodan, Censys या विशेष रूप से निर्मित स्कैनर जैसे बड़े पैमाने पर स्कैनिंग टूल का उपयोग करके सार्वजनिक रूप से उजागर Next.js डिप्लॉयमेंट की पहचान करते हैं जो इस भेद्यता के प्रति संवेदनशील हैं।

यह अंधाधुंध लक्ष्यीकरण रणनीति कमजोर प्रणालियों की तेजी से पहचान करने में सक्षम बनाती है, जिससे सफलता दर और उल्लंघन की सीमा में काफी वृद्धि होती है।

बहु-चरणीय पेलोड परिनियोजन: एक्सेस से लेकर डेटा संग्रहण तक

प्रारंभिक सुरक्षा उल्लंघन के बाद, NEXUS Listener नामक एक बहु-चरणीय डेटा संग्रह प्रणाली स्थापित करने के लिए एक ड्रॉपर तैनात किया जाता है। यह प्रणाली स्वचालित स्क्रिप्ट का संचालन करती है, जिन्हें संक्रमित प्रणालियों से संवेदनशील डेटा निकालने और उसे केंद्रीकृत कमांड-एंड-कंट्रोल (C2) अवसंरचना में भेजने के लिए डिज़ाइन किया गया है।

कटाई की प्रक्रिया व्यापक है और व्यवस्थित रूप से निम्नलिखित चीजों को एकत्र करती है:

• पर्यावरण चर और JSON-पार्स किए गए रनटाइम कॉन्फ़िगरेशन
• SSH निजी कुंजी और अधिकृत कुंजी फ़ाइलें
• शेल कमांड इतिहास और चल रही प्रक्रिया का विवरण
• Kubernetes सेवा खाता टोकन और Docker कंटेनर कॉन्फ़िगरेशन
• एपीआई कुंजी, डेटाबेस क्रेडेंशियल और क्लाउड सेवा रहस्य
• क्लाउड मेटाडेटा सेवाओं (AWS, Google क्लाउड, Microsoft Azure) के माध्यम से प्राप्त अस्थायी IAM क्रेडेंशियल

नेक्सस लिसनर: केंद्रीकृत खुफिया जानकारी और नियंत्रण

इस ऑपरेशन का मुख्य आधार नेक्सस लिसनर है, जो हमलावरों के सी2 इंफ्रास्ट्रक्चर पर होस्ट किया गया एक पासवर्ड-सुरक्षित वेब-आधारित एप्लिकेशन है। यह इंटरफ़ेस ऑपरेटरों को चोरी किए गए डेटा की निगरानी और विश्लेषण करने के लिए एक व्यापक ग्राफिकल डैशबोर्ड प्रदान करता है।

इस प्लेटफॉर्म की प्रमुख क्षमताओं में निम्नलिखित शामिल हैं:

• असुरक्षित होस्ट और प्राप्त क्रेडेंशियल्स की रीयल-टाइम जानकारी
• कुशल डेटा फ़िल्टरिंग और विश्लेषण के लिए खोज सुविधा
• प्रमाण-पत्रों के प्रकार और उनकी संख्या का विस्तृत विवरण देने वाले एकत्रित आँकड़े
• एप्लिकेशन अपटाइम और परिचालन स्थिति जैसे सिस्टम मेट्रिक्स

वर्तमान में देखा जा रहा संस्करण, नेक्सस लिसनर वी3, निरंतर विकास और परिष्करण को दर्शाता है, जो एक परिपक्व और विकसित हो रहे टूलसेट का संकेत देता है।

बहुमूल्य रहस्यों का खुलासा: एक खतरनाक डेटा कैश

कुछ मामलों में, गलत तरीके से कॉन्फ़िगर किए गए या अप्रमाणित NEXUS Listener पैनल ने कई संवेदनशील क्रेडेंशियल्स को उजागर कर दिया है। इनमें Stripe जैसी वित्तीय सेवाओं, OpenAI, Anthropic और NVIDIA NIM जैसे कृत्रिम बुद्धिमत्ता प्लेटफार्मों, साथ ही SendGrid और Brevo जैसी संचार सेवाओं से जुड़ी API कुंजी शामिल हैं।

अन्य उजागर संपत्तियों में टेलीग्राम बॉट टोकन, वेबहुक सीक्रेट्स, गिटहब और गिटलैब टोकन, और डेटाबेस कनेक्शन स्ट्रिंग शामिल हैं। समझौता किए गए डेटा की यह व्यापकता आगे के हमलों की संभावना को काफी बढ़ा देती है।

रणनीतिक प्रभाव: संपूर्ण अवसंरचना पारिस्थितिकी तंत्र का मानचित्रण

व्यक्तिगत पहचान पत्रों के अलावा, एकत्रित डेटा पीड़ित के परिवेश का विस्तृत खाका प्रदान करता है। हमलावर तैनात सेवाओं, कॉन्फ़िगरेशन पैटर्न, उपयोग में आने वाले क्लाउड प्रदाताओं और तृतीय-पक्ष एकीकरणों की जानकारी प्राप्त कर लेते हैं।

इस तरह की खुफिया जानकारी अत्यधिक लक्षित अनुवर्ती अभियानों को सक्षम बनाती है, जिसमें पार्श्व स्थानांतरण, विशेषाधिकार वृद्धि, सामाजिक इंजीनियरिंग अभियान या अन्य खतरा पैदा करने वाले तत्वों को पहुंच का पुनर्विक्रय शामिल है।

रक्षात्मक अनिवार्यताएँ: जोखिम को कम करना और जोखिम को सीमित करना

इस अभियान का व्यापक दायरा और गहराई सक्रिय सुरक्षा उपायों की आवश्यकता को रेखांकित करती है। संगठनों को जोखिम को कम करने के लिए कठोर पर्यावरण ऑडिटिंग और क्रेडेंशियल प्रबंधन प्रथाओं को प्राथमिकता देनी चाहिए।

सुझाई गई कार्रवाइयों में निम्नलिखित शामिल हैं:

• सभी प्रणालियों और सेवाओं में न्यूनतम विशेषाधिकार के सिद्धांत को लागू करना।

• उजागर क्रेडेंशियल्स का पता लगाने के लिए स्वचालित गुप्त स्कैनिंग को सक्षम करना

• विभिन्न वातावरणों में SSH कुंजी युग्मों के पुन: उपयोग से बचना

• मेटाडेटा एक्सेस की सुरक्षा के लिए सभी AWS EC2 इंस्टेंसेस पर IMDSv2 लागू करना

• सुरक्षा उल्लंघन का संदेह होने पर सभी क्रेडेंशियल्स को तुरंत बदल दिया जाएगा।

तेजी से स्वचालित हो रहे और बड़े पैमाने पर क्रेडेंशियल चोरी करने वाले अभियानों से बचाव के लिए एक्सेस कंट्रोल और निरंतर निगरानी के लिए एक अनुशासित दृष्टिकोण अपनाना आवश्यक है।